윈도우 서버 폴더 및 파일 삭제한 계정 로그로 남기는 설정

회사에서 윈도우서버를 이용하여 공유폴더를 사용하는 경우 폴더나 파일을 삭제하는 사고가 발생하는 경우가 있습니다.
그런 경우 실수한 직원이 실수를 인정하면 그 후 어떻게 문제를 해결할 건지 논의하면 됩니다.
하지만 누구도 실수를 인정하지 않을 경우 이런 경우 정말 난감합니다.
이런 때 로그를 확인하여 어떤 컴퓨터에서 삭제 명령이 실행되었는지 확인하기 위해 사전에 감사 정책을 설정해 놓아야 합니다.

* 사전에 아래 2가지 설정을 해놓습니다.
 1. 로컬 그룹 정책 편집기
   - 윈도우 검색 > gpedit.msc > 컴퓨터 구성 > Windows설정 > 보안설정 > 로컬정책 > 감사정책 >

     개체 엑세스 감사 > 성공/실패 체크

 2. 공유 폴더에 감사 정책 설정을 해놓습니다.
   - 공유폴더 우 클릭 > 속성 > 보안 > 고급 > 감사 > 추가 > 보안 주체 선택 > 고급 > 지급찾기 > everyone >

     고급 권한 표시 > 삭제/하위폴더 및 파일삭제 선택 > 확인

* 사후에 이벤트 뷰어에서 로그를 확인하면 됩니다.
  - 윈도우 검색 > 이벤트 뷰어 > Windows 로그 > 보안 > 찾기 "4663"

다음과 같이 공유 폴더와 파일들이 어떤 계정으로 삭제되었는지 확인이 가능합니다. 

 

이만 포스팅을 마칩니다.